Il diritto all’Oblio nel testo del Regolamento sulla Data Protection

11/05/2016
di Leonardo

Con “right to be forgottendeve intendersi il diritto di un soggetto a non vedere pubblicate alcune notizie relative a vicende che lo riguardano, già legittimamente diffuse, quando, rispetto all’accadimento delle stesse, è trascorso un notevole lasso di tempo.

Tale istituto, di matrice prettamente giurisprudenziale, è configurabile quale peculiare espressione del diritto alla riservatezza e del legittimo interesse di ciascuno a non rimanere indeterminatamente esposto ad una rappresentazione non più attuale della propria persona, derivante dalla reiterata divulgazione di una notizia ovvero dal permanere della sua indicizzazione sui motori di ricerca, con pregiudizio alla propria reputazione nonché alla propria riservatezza. Questi i motivi recentemente espressi dal Tribunale di Roma nella sentenza del 3 dicembre 2015, nella quale i giudici capitolini hanno nuovamente ribadito i noti principi stabiliti nella materia dalla Corte di Giustizia dell’Unione Europea nel caso “Google Spain”.

La sentenza romana

La sentenza del Tribunale di Roma segue una lunga serie di precedenti giurisprudenziali, che negli anni hanno contribuito a determinare un orientamento ben preciso della materia, a partire dalle ordinanze del 1996 nelle quali si definirono, seppur con qualche incertezza, alcuni aspetti fondamentali del diritto all’oblio, tra i quali il fattore determinante dello scorrere del tempo. Il diritto all’oblio non sarebbe dunque volto ad impedire la divulgazione di fatti e notizie, ma ad impedire che questi fatti vengano rievocati nonostante il tempo trascorso.

Sarà la sentenza n. 5525/2012 della Suprema Corte a determinare l’esatta portata di tale diritto. La suddetta pronuncia ha specificato che l’interessato, alla luce di quanto previsto dall’art. 11 del Codice per la protezione dei dati personali, ha diritto a che il trattamento dei dati che lo riguardano avvenga nel rispetto dei principi di proporzionalità, pertinenza e non eccedenza, come sanciti dal Codice in materia di protezione dei dati personali. All’interessato viene, dunque, attribuito “il diritto di conoscere in ogni momento chi possiede i suoi dati personali e come li adopera, nonché di opporsi al trattamento dei medesimi, ancorché pertinenti allo scopo della raccolta, ovvero di ingerirsi al riguardo, chiedendone la cancellazione, la trasformazione, il blocco, ovvero la rettificazione, l’aggiornamento, l’integrazione”. Sempre secondo la Corte “se l’interesse pubblico sotteso al diritto all’informazione (art. 21 Cost.) costituisce un limite al diritto fondamentale alla riservatezza, al soggetto cui i dati appartengono è correlativamente attribuito il diritto all’oblio e cioè a che non vengano ulteriormente divulgate notizie che per il trascorrere del tempo risultano ormai dimenticate o ignote alla generalità dei consociati“. Questi principi vanno applicati anche qualora la notizia sia memorizzata nella rete internet, con evidenti implicazioni tecnico-organizzative per quei soggetti che materialmente quelle informazioni trattano.

La vicenda recentemente esaminata dal Tribunale di Roma ha riguardato la presenza di links sul motore di ricerca Google riportanti il nome del ricorrente, con riferimento a notizie di cronaca circa una vicenda giudiziaria in cui il medesimo sarebbe rimasto coinvolto nel 2012/2013 unitamente ad altri personaggi romani, alcuni esponenti del clero ed altri ricondotti alla criminalità della cd. banda della Magliana, relativamente a presunte truffe e guadagni illeciti realizzati dal sodalizio criminoso. I giudici hanno affermato che “attesa l’attenuazione dell’attualità della notizia e dell’interesse pubblico all’informazione con il trascorrere del tempo dall’accadimento del fatto, quest’ultimo, ove ritenuto sussistente, impedisce il protrarsi del trattamento stesso quindi l’indicizzazione, con la conseguente fondatezza della domanda di deindicizzazione nei confronti del gestore del motore di ricerca, per come risultante anche dalla recente pronuncia in materia resa dalla Corte di Giustizia Europea (Grande Sezione del 13.5.2014 nella causa C-131/12, sentenza Costeja), oltre che dalle, conformi, successive decisioni del Garante per la protezione dei dati personali”. In sintesi, gli utenti – nel caso in cui risultassero notizie ad essi connesse tra i risultati mostrati da un search engine – non possono ottenere dal gestore del motore di ricerca la cancellazione dai risultati di una notizia che li riguardi se si tratta di un fatto recente e di rilevante interesse pubblico: il diritto all’oblio, infatti, deve essere bilanciato con il diritto di cronaca e con l’interesse pubblico alla conoscenza dei fatti acquisibili per il tramite dei links forniti dal motore di ricerca. Ad avviso della Corte “occorre ricercare, in situazioni quali quelle oggetto del procedimento principale, un giusto equilibrio segnatamente tra tale interesse e i diritti fondamentali della persona di cui trattasi derivanti dagli articoli 7 e 8 della Carta. Se indubbiamente i diritti della persona interessata tutelati da tali articoli prevalgono, di norma, anche sul citato interesse degli utenti di Internet, tale equilibrio può nondimeno dipendere, in casi particolari, dalla natura dell’informazione di cui trattasi e dal suo carattere sensibile per la vita privata della persona suddetta, nonché dall’interesse del pubblico a disporre di tale informazione, il quale può variare, in particolare, a seconda del ruolo che tale persona riveste nella vita pubblica”.

L’orientamento europeo

L’orientamento giurisprudenziale europeo e nazionale, coadiuvato dall’intervento dell’Article 29 Data Protection Working Party (organo consultivo indipendente istituito in conformità all’art. 29 della Direttiva 95/46/CE sulla protezione dei dati personali), il quale ha individuato alcuni criteri guida per orientare l’attività delle autorità nazionali nella gestione dei reclami degli interessati, fa proprio l’istituto del bilanciamento di interessi: da un lato la tutela della riservatezza e dall’altro il diritto di cronaca e di informazione.

Su tale stato di fatto, si inserirà il nuovo Regolamento europeo sulla Data Protection (GDPR) ormai giunto approvato. Il Regolamento, pubblicato in Gazzetta Ufficiale e pienamente efficace dal 28 maggio 2018, ha rivolto l’attenzione agli articoli che già disciplinano il diritto all’oblio.

L’articolo 17 riconosce in capo all’interessato il diritto di ottenere da parte dei Data Controller (ossia dai Titolari del trattamento) la cancellazione dei dati che lo riguardano. Tale facoltà è però esercitabile da tale soggetto soltanto in ipotesi tassative ossia (a titolo esemplificativo) quando i dati personali non risultano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, ovvero l’interessato ha ritirato il proprio consenso al trattamento dei dati personali e dei quali chiede la cancellazione. La norma riporta, tra le ipotesi che consentono il legittimo esercizio del diritto, anche quella in cui la cancellazione si renda necessaria per adempiere ad un obbligo legislativo europeo o nazionale. Il richiamo alla normativa degli Stati membri, quale condizione necessaria all’esercizio, potrebbe avere la conseguenza di generare nuovamente una disomogeneità nell’applicazione della disciplina in materia: la normativa nazionale determinerà quando e se poter richiedere la cancellazione dei dati personali (ovviamente nel rispetto dei principi introdotti con il Regolamento).

La richiesta di cancellazione, segue la norma, avanzata dall’interessato nei confronti dei dati personali che lo riguardano e che siano stati resi pubblici dal Controller, dovrà essere da questo correttamente evasa in termini, tenuto conto delle tecnologie disponibili e dei costi connessi. La norma, inoltre, riporta l’obbligo per il Controller, destinatario diretto della richiesta di cancellazione, di informare gli altri titolari che stiano trattando i dati personali dell’interessato. Tali soggetti dovranno dunque cancellare non solo qualsiasi link, ma anche ogni copia o riproduzione dei suddetti dati.

Il disposto citato potrà applicarsi – come già sancito dalla giurisprudenza – nei confronti del motore di ricerca per deindicizzare i link a quei siti che siano ritenuti dagli interessati lesivi del loro right to be forgotten, in relazione alla pretesa a ottenere la cancellazione dei contenuti delle pagine web che, secondo l’interessato, offrono una rappresentazione non più attuale della persona.

Diversamente, il diritto alla cancellazione non potrà trovare alcuna applicazione né riconoscimento, a norma del comma 3 dell’art. 17 del Regolamento, al ricorrere di determinate condizioni, anche esse tassativamente enunciate dal testo. La prima clausola di esclusione presuppone che il trattamento dei dati, oggetto di una richiesta di cancellazione, sia necessario all’esercizio di un diritto di libertà, di espressione e di informazione. Tale previsione risulta di fatto già ampiamente applicata dai Garanti nazionali, tra cui quello italiano, il quale ha più volte respinto i ricorsi di interessati che contestavano la decisione di alcuni motori di ricerca di non deindicizzare articoli a loro riferiti laddove il trattamento dei dati personali dei ricorrenti era avvenuto in origine per finalità giornalistiche ed era stato effettuato nel rispetto del principio di essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Analogamente, non sarà possibile dar seguito alla richiesta di cancellazione proveniente dall’interessato qualora il trattamento sia necessario per assicurare la compliance con una legge (europea e/o nazionali) cui è sottoposto il Controller o, ancora, qualora il trattamento sia necessario per finalità di archiviazione nel pubblico interesso o per finalità scientifiche, statistiche e storiche.

Con riferimento alle modalità di esercizio del diritto all’oblio, si rileva come l’articolo esaminato non fornisca alcuna indicazione, anche se possiamo ipotizzare l’assenza di particolari formalità.

Ciò anche sulla base delle scelte manifestate dall’Article 29 Data Protection Working Party, con riferimento alla richiesta attinente al de-linking. L’Organo ha infatti indicato come la richiesta possa essere manifestata in ogni modo e con qualunque mezzo, facendo salva la facoltà del motore di ricerca di rifiutarsi di raccogliere la richiesta del soggetto interessato, motivandone il rifiuto e riportando nella risposta la facoltà del soggetto di rivolgersi ad un’autorità nazionale o agli organi di giurisdizione ordinaria secondo quanto previsto dalla normativa in materia di tutela dei dati personali.

Riproduzione riservata ©

ALTRE NEWS

Le nuove regole del Garante della Privacy per i pagamenti con smartphone e tablet

La rivoluzione sul fronte dei pagamenti è alle porte. Dopo un 2014 dinamico e determinante per lo sviluppo della tecnologia e della normativa in materia… Leggi Tutto

Spamming: reato?

Dal primo gennaio 2004 entrerà in vigore il Codice di protezione dei dati personali: il Codice garantisce che il trattamento dei dati personali si svolga… Leggi Tutto

Click-stream: la violazione della privacy del navigatore

In ambito di commercio elettronico, il trattamento dei dati degli utenti è un processo necessario ma altrettanto delicato, considerando che pur sussistendo l’esigenza di individuare… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form